Archive for September, 2007

SOCIAL ENGINEERING, APA ITU?

Sunday, September 23rd, 2007

<!–
@page { size: 8.5in 11in; margin: 0.79in }
P { margin-bottom: 0.08in }
–>

Saya
berpendapat setiap pengguna komputer perlu mengenal istilah ini
dikarenakan tehnik ini sedemikian mudahnya dan memiliki kemungkinan
tinggi untuk terjadi pada diri kita. Meski istilah ini dipakai di
dunia keamanan komputer, tapi IMHO, istilah ini dapat juga
diaplikasikan secara luas di kehidupan sehari-hari. Coba, apakah Anda
pernah melakukan validasi balik ketika Anda ditelepon oleh seorang
yang mengaku sebagai petugas call center sebuah bank terkemuka?
Apakah Anda percaya saja dengan apapun yang ia katakan, termasuk
memberikan data-data pribadi ataupun perbankan Anda?

 

Dalam
dunia keamanan komputer, istilah social engineering dapat
diartikan sebagai tehnik/trik yang dipergunakan oleh “hacker”
(ijinkan saya pakai istilah ini saja, demi kemudahan, meski mungkin
istilah ‘cracker’ lebih tepat dipakai) untuk memanipulasi korban
untuk melakukan tindakan tertentu atau ‘membocorkan’ informasi
tertentu. Tehnik ini tidak mempergunakan ketrampilan programming
ataupun coding khusus, melainkan hanya dengan kelihaian
mempengaruhi korbannya. Dalam kebanyakan kasus (meski tidak semua),
biasanya si hacker tidak pernah bertatap muka dengan korbannya.

 

Tehnik
ini dipopulerkan oleh seorang konsultan keamanan komputer yang
bernama Kevin Mitnick (belakangan dia dikenal sebagai “Bapak”
para Hacker). Menariknya, tehnik ini memanfaatkan kelemahan manusia
sebagai makhluk sosial dan sebagai pengguna sistem komputer dimana
lebih mudah untuk memperdaya si pemilik sistem untuk menyerahkan
passwordnya ketimbang harus melakukan hacking langsung ke sistem.
Tehnik ini juga membuktikan
bahwa pengguna komputer adalah titik terlemah pada keamanan sistem
komputer!

 

Beberapa
tehnik social engineering adalah:

  1. Pretexting
    -biasanya dilakukan via telepon
    seperti yang sering kita lihat di
    televisi, dimana hacker menelepon korban dan berpura-pura menjadi
    seseorang -misalnya polisi, petugas call center bank- untuk
    mendapatkan informasi penting seseorang, misalnya: tanggal lahir,
    informasi mengenai kartu kredit dan perbankan, dll.

  2. Phising
    Apabila
    Anda menerima sebuah email yang kelihatannya resmi dari sebuah
    institusi perbankan ternama, dan meminta Anda untuk melakukan
    validasi rekening dengan memasukkan nama, nomor rekening, user ID
    dan password internet banking Anda, maka sebaiknya Anda berpikir dua
    kali apakah email tersebut benar-benar berasal dari institusi
    perbankan tersebut.

  3. Trojan
    Horse
    Yup, Anda benar! istilah ini memang berasal dari cerita
    kuda Troya yang terkenal itu. Bisa datang kepada Anda dalam bentuk
    email attachment yang menjanjikan screensaver
    gadis-gadis sexy ataupun diberi nama yang menarik yang dapat
    menggoda Anda untuk meng-klik-nya. Padahal dibalik itu, attachment
    itu berisikan program jahat yang sering disebut juga sebagai
    ‘malware’ (malicious software) dan bertugas untuk -misalnya-
    mengumpulkan informasi penting yang ada di PC Anda untuk dikirimkan
    kembali ke si pembuatnya ataupun program kecil yang senantiasa aktif
    ketika Anda menghidupkan sistem Anda sehingga si pembuatnya dapat
    melakukan kendali jarak jauh dari rumahnya!

  4. Quid
    pro Quo     – something for something
    Barter! Sebuah survey
    yang dilakukan di tahun 2003 mengejutkan banyak orang ketika
    menyatakan bahwa 90% karyawan yang berada di luar kantor bersedia
    menyebutkan passwordnya demi sebuah ballpoin murahan.

 

Intinya,
inilah langkah pertama yang diambil oleh seorang hacker ketika akan
membobol sistem/PC Anda. Mudah dan murah! Beberapa hal yang bisa saya
anjurkan untuk mengurangi risiko menjadi korban social engineering
adalah:

 

  1. Senantiasa
    waspada ketika seseorang menanyakan hal-hal yang bersifat rahasia
    atau tidak biasa kepada Anda. Mending Anda melakukan konfirmasi
    balik sebelum menjawab pertanyaan tersebut.

  2. Hati-hati
    ketika membuka email dari seseorang yang tidak Anda kenal. Apalagi
    bila terdapat attachment di dalamnya.

  3. Hati-hati
    ketika melakukan browsing, pergunakan browser yang aman. Trojan
    horse bisa saja ter-download tanpa Anda sadari. Saat ini browser
    telah dilengkapi dengan anti-phising untuk melindungi Anda dari
    risiko itu. Makanya, update browser Anda.

  4. Rajin-rajin
    scan PC Anda dengan Anti Virus dan Anti Spyware. Siapa tahu ada
    malware yang tersembunyi di PC Anda!

 

 

 

—–

 

 

 

Posted in Web/Tech | No Comments »